Данная статья посвящена вопросам построения модели угроз и модели нарушителя для пользовательских информационных систем в современном цифровом обществе.
Ключевые слова: цифровизация, информационная безопасность, модель угроз, модель нарушителя.
Цифровизация общества идет семимильными шагами, поэтому возникает потребность в обеспечении безопасности передаваемой информации. Безопасность информации определяется большим количеством факторов. Ее защиту может обеспечить только такая система, которая способна совместить в себе совокупность всех объектов защиты, функционирующую по определенным правилам, установленным на законодательном уровне.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) Российской федерации ведет актуальную базу угроз безопасности информации [1].
Благодаря ФСТЭК Россия находится на одной из ведущих позиций в области информационной безопасности, ведь именно ФСТЭК России разработал методику определения угроз безопасности информации в информационных системах [2].
Каждый человек хотел бы рассчитывать на то, что личные данные, которые он доверил госорганам или провайдерам будут в полной сохранности. Очень важной составляющей защиты личности становится безопасность персональных данных. Неправомерный доступ к ним третьих лиц может повлечь за собой реальную опасность, которая может носить характер умаления деловой репутации, хищения имущества или даже физического покушения. Разрабатывая модель угроз, на основе действующих методик ФСТЭК России, нужно обязательно учитывать понятие внутренних и внешних угроз; согласно методикам, будут оцениваться не только сами источники угроз, но и их возможности. Модель угроз должна содержать описание и характеристики информационной системы, возможные угрозы и уязвимости, способы реализации угроз, а также последствия от нарушения безопасности.
В настоящее время существуют прикладные программы, позволяющие производить оценку рисков пользовательских систем. Так программа MyCSF предоставляет следующие услуги:
− защита детей от нежелательного контента;
− защита цифровых данных;
− межсетевые экраны;
− управление доступом;
− мониторинг активности персонального компьютера;
− блокировка рекламы;
− защита от шпионских программ;
− online-утилиты;
− безопасное удаление;
− политика безопасности;
− анализ рисков информационной безопасности.
Программный продукт vsRisk Risk Assessment Tool, разработанный британской компанией IT Governance вместе с Vigilant Software — это современное средство оценки рисков, основывающееся на международном стандарте информационной безопасности ISO 27001. [3]
VsRisk предоставляет собой продукт с простым и понятным интерфейсом и обладает такими полезными свойствами как:
− оценка риска нарушения конфиденциальности, доступности и целостности информации в бизнесе, а также с точки зрения соблюдения контрактных обязательств и законодательства в полном соответствии с ISO 27001 [3];
− поддержка стандартов: BS7799–3:2006, ISO/IEC 27002, NIST SP 800–30, ISO/IEC TR 13335–3:1998 − содержание интегрированной и регулярно обновляемой базы знаний по уязвимостям и угрозам.
Программный продукт CRAMM (CCTA Risk Analysis and Managment Method) был разработан Central Computer and Telecommunications Agency — Агентством по компьютерам и телекоммуникациям Великобритании по заданию Британского правительства и взят за основу в качестве государственного стандарта. С 1985 года CRAMM используется правительственными и коммерческими организациями Великобритании, в течение этого времени CRAMM стал популярен во всем мире. Insight Consulting Limited занимается сопровождением и разработкой одноименного программного продукта, работающего с помощью метода CRAMM. За основу метода взят комплексный подход к оценке рисков, учитывающий качественные и количественные методы анализа. Данный метод универсален и подходит как для небольших, так и для крупных организаций.
Любые угрозы могут быть реализованы только при условии наличия слабых мест — уязвимостей в информационной системе; поэтому особое внимание необходимо уделять источникам угроз. Выделяются следующие источники:
− техногенные (связаны с оборудованием, измерительными приборами, специальными техническими и программными средствами);
− антропогенные (например, лица, осуществляющие преднамеренные действия с целью извлечения полезной информации, лица, имеющие доступ в информационную систему, но непреднамеренно нарушившие безопасность информации);
− стихийные (не зависят от человека, представляют собой природные явления, например, пожар, наводнение и т. д.).
С учетом анализа прав доступа субъектов к информации, а, так же анализа возможностей нарушителя определяется тип нарушителя:
− внешние нарушителя (не имеют права доступа к информационной системе и её отдельным компонентам; реализуют угрозы безопасности информации из-за границ информационной системы);
− внутренние нарушители (имеют права постоянного или разового доступа к информационной системе и её отдельным компонентам).
Любая угроза безопасности информации в информационной системе описывается следующим образом: УБИ = [нарушитель (источник угрозы); уязвимости; способы реализации угрозы; объекты воздействия; последствия от реализации угрозы] Поскольку ни одна из рассмотренных программных систем не позволяет построить модель угроз и модель нарушителя, пользователь обязан решать эту задачу самостоятельно для каждой своей автоматизированной системы, используя базу данных угроз на сайте ФСТЭК.
Согласно документу ФСЭК «Методика определения угроз безопасности информации в информационных системах» создается экспертная группа, которая и производит оценку безопасности пользовательской системы. Эксперты возможностей нарушителей по реализации угроз безопасности информации является формирование предположения о типах, видах нарушителей, которые могут реализовать угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.
Литература:
- Банк данных угроз безопасности информации [Электронный ресурс] / Fstec, 2020. Режим доступа: https://bdu.fstec.ru/threat, дата обращения: 20.06.2020.
- Российская Федерация. Стандарты. Методический документ ФСТЭК России Методика определения угроз безопасности информации в информационных системах» [утвержден приказом ФСТЭК России от 11.02.2013 № 17] — Москва 2015.
- Российская Федерация. Стандарты. ГОСТ Р ИСО/МЭК 27001–2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования [утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 375-ст] — Москва — СтандартИнформ, 2019.